Kartey426/Aegis

GitHub: Kartey426/Aegis

一个基于确定性启发式与选择性 LLM 调用的供应商无关安全信号分诊流水线,旨在高效降噪并降低告警处理成本。

Stars: 0 | Forks: 0

# Aegis - 威胁分诊 Pipeline Aegis 是一个与供应商无关的安全信号摄入和分诊系统,具有 确定性的首轮处理和针对高风险告警的单一 LLM 决策步骤。 ## 当前状态 目前已实现并可运行: - 存储层:Postgres + Redis + ORM 模型 - 扫描层:hashing、entropy、PE/静态提取、进程归属 - Connectors:file_scan + threat_feed - 启发式 + 元数据评分器 - 富化:MalwareBazaar、VirusTotal、URLhaus、WHOIS/RDAP - 带有缓存 + 持久化的 Pipeline 处理器 - Scheduler 任务(增量扫描 + 每日威胁源同步) - API 路由:/alerts 和 /cases - Agent 路径:确定性关联上下文 + 决策 LLM 调用 - 安全控制:脱敏 + 基于 Redis 的 LLM 速率限制 仍待完成: - gateway/circuit_breaker.py - gateway/router.py(模型提供商路由 / 本地回退) ## 当前决策流程 ``` StandardAlert -> Redis cache -> Heuristics -> Metadata scoring -> Enrichment (MB -> VT, URLhaus, WHOIS) -> Correlation context (Postgres history) -> Decision agent (single LLM call for escalated cases) -> Persist alert + case ``` 只有高于升级阈值的告警才会调用 LLM。其他所有告警都通过确定性逻辑来解决。 ## 文档 - 运行指南:HOWTORUN.md - 架构(当前):ARCHITECTURE.md - 详细实现说明:IMPLEMENTATION.md - 计划工作:future_work.md
标签:C2, PostgreSQL, Python, Redis, 告警分诊, 威胁情报, 安全运营, 开发者工具, 扫描框架, 搜索引擎查询, 无后门, 逆向工具